Wenn es um Daten geht, kann jeder Austausch mit der Außenwelt Anlass für Bedenken um deren Vertraulichkeit und Integrität werden. Denn, während der Datenübertragung, können sie abgefangen, modifiziert oder unbrauchbar gemacht werden. Zum bestmöglichen Schutz gegen verschiedene Risiken müssen die IT-Sicherheitsteams eine Reihe bewährter Verfahren anwenden. Die folgenden Tipps sollen dazu beitragen, das Vertrauen zurückzugewinnen und wieder sicher zu kommunizieren.
Paris | Alle Unternehmen und Institutionen müssen gleichermaßen die drei Säulen der Datensicherheit berücksichtigen: Vertraulichkeit, Integrität und Verfügbarkeit. Doch wie kann man seine Organisation schützen und trotzdem dem Personal einen ungestörten Austausch ermöglichen?
Daten als Cyberrisiko
Das Konzept des Datenschutzes ist eng mit den Risiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit verknüpft. In diesem Punkt laufen die Definitionen zusammen: Vertraulichkeit stellt sicher, dass eine Information nur für entsprechende befugte Personen zugänglich ist. Integrität gewährleistet, dass eine Information während ihres Lebenszyklus unverändert bleibt. Verfügbarkeit sorgt dafür, dass eine Information innerhalb eines bestimmten Zeitraums zugänglich ist. Zusammen mit dem Begriff der Rückverfolgbarkeit sind diese Aspekte die grundlegenden Kriterien für Informationssicherheit.
Die allgemeine Antwort auf die Notwendigkeit, die Datenintegrität und -Vertraulichkeit zu wahren, heißt Verschlüsselung. Doch auch wenn eine solche Maßnahme mittlerweile notwendig ist, wird sie nicht unbedingt immer ordnungsgemäß umgesetzt. Ob wichtige, vertrauliche oder kritische Daten: Es ist leicht, sich in den mit diesem Thema verbundenen Begriffen zu verlieren, weshalb sich viele Unternehmen nicht betroffen fühlen und denken, ihre Dateien und deren Austausch nicht schützen zu müssen. Dennoch geht Datenschutz alle Firmen etwas an. Kundendateien, Buchhaltungsunterlagen oder andere wichtige Akten sind allesamt Elemente, die den täglichen Betrieb ermöglichen. Ein Jahr Buchhaltung für ein klein- bzw. mittelständisches Unternehmen zu verlieren, kann zum Beispiel katastrophal sein. Um sich zurechtzufinden, muss jeder definieren, welche Informationen für die jeweilige Organisation strategisch wichtig sind – wobei zu berücksichtigen ist, dass – eigentlich – alle erzeugten Daten wertvoll sind.
Parallel dazu muss man besser verstehen, wann solche Daten zugänglich und damit für Angriffe anfällig sind. Denn um einen Datenzugang zu erhalten, kann der Weg eines Cyberkriminellen über ein Endgerät oder das Netzwerk des Unternehmens führen – alles Elemente, die ebenfalls in die Logik des Cyberschutzes einzubeziehen sind. Im speziellen Fall eines Trojanerangriffs kann eine Gruppe von Cyberkriminellen etwa Zugriff auf alles haben, was auf den Bildschirmen des infizierten Systems angezeigt wird. Auch Tastatureingaben können ausspioniert werden. „Solche Angriffe können sehr gezielt und staatlich finanziert sein, doch nicht nur“, präzisiert Sébastien Viou, Direktor für Cybersicherheit und Cyber-Evangelist bei Stormshield. „Trojaner, mit denen Passwörter und Zugangsdaten, insbesondere Bankdaten von Privatpersonen abgefangen werden, lassen sich auch durch einfaches Herunterladen eines Spiels, einer Browser-Erweiterung oder eines Passwortmanagers in großem Umfang einschleusen. Oft denken wir dabei nur an den Computer, aber auch das Smartphone ist ein großes Einfallstor für diese Art Malware.“ Dies unterstreicht die Notwendigkeit des Schutzes von Arbeitsplätzen, nährt aber auch die Überlegung, die Nutzung von Firmen-Endgeräten auf berufliche Zwecke zu beschränken.
Wie kann man seine Daten besser schützen?
Ein Datensatz ist wertlos, wenn er in der hintersten Schublade oder in einem versteckten Verzeichnis des Computers liegt. Häufig sind Daten nur dann wertvoll, wenn sie gut zugänglich sind. Beim Austausch sind sie daher am anfälligsten, denn sie verlassen die (theoretisch) geschützte Enklave ihres Speicherorts.
Der Austausch kann dann verschiedene Formen annehmen: Informationen werden per E-Mail verschickt, in der Cloud abgelegt oder auf einem USB-Stick gespeichert. Dies sind unterschiedliche Austauschwege und vor allem Technologien, die jedoch mit der gleichen Methode abgesichert werden müssen: Die lückenlose Verschlüsselung von Daten. Eine solche Verschlüsselung sorgt mithilfe eines robusten Authentifizierungsmechanismus dafür, dass die Informationen nur vom Absender und vom Empfänger gelesen werden können. Sie bleiben damit außerhalb der Reichweite von Eindringlingen, Neugierigen und denjenigen, die solche Daten womöglich publik machen würden. Diesen wird der Zugang zu den Daten im Klartextformat verwehrt. Doch damit diese Verschlüsselung überall wirksam ist, muss sie unter der alleinigen Kontrolle des Unternehmens stehen, das seine Daten schützen möchte. Die Chiffrierungsschlüssel müssen daher im exklusiven Besitz der jeweiligen Firma bleiben. Nur so kann der Schutz der Daten völlig unabhängig von dem Speicherort sein.
Mit der mobilen Nutzung oder dem massiven Einsatz von Tools für die Zusammenarbeit werden einige Datenfreigaben jedoch nicht durchgängig vom Unternehmen kontrolliert. Bei der Nutzung bestimmter SaaS-Software-Suiten fürs Büro kann die Bereitstellung einer unabhängigen Verschlüsselungslösung die tatsächliche Vertraulichkeit der Daten gewährleisten. Angesichts der einfachen Nutzung dieser Online-Office-Suiten besteht die Herausforderung für die Lösungsanbieter darin, die Chiffrierung für den Endanwender nahtlos zu integrieren und so, unter Beibehaltung einer einfachen und effektiven Benutzererfahrung, für eine entsprechende Sicherheit zu sorgen. Nach Dateien und E-Mails müssen Daten nun direkt in Webbrowsern überall verschlüsselt werden.
Die Bedeutung von Datensicherung und Zugriffsrechten
Wenn die Datenverschlüsselung den zwingenden Anforderungen an Integrität und Vertraulichkeit gerecht wird, wie sieht es dann mit der Verfügbarkeit aus? Denn Daten, die für alle zugänglich sind, selbst wenn sie verschlüsselt sind, können immer noch gelöscht werden. So muss in einem ersten Schritt für eine wirksame Sicherung gesorgt werden. Sébastien Viou fasst zusammen: „Die Datensicherung sollte regelmäßig getestet und verschlüsselt werden sowie offline oder unveränderbar sein.“ Sie ist von IT- und Geschäftsteams mit gemeinsamer Verantwortung anzugehen, um alle notwendigen Parameter einschließlich der Verwaltung des Wiederherstellens von Verschlüsselungsgeheimnissen zu berücksichtigen. Es ist auch besser, einen Notfallplan („Disaster Recovery Plan“, DRP) oder einen Geschäftskontinuitätsplan („Business Continuity Plan“, BCP) zu erstellen, der in einem sicheren digitalen oder nicht digitalen Raum gespeichert wird.
Parallel dazu muss auch die Verwaltung der Zugriffsrechte auf die Daten vorgesehen werden. Dies soll sicherstellen, dass sowohl intern als auch extern nur befugte Personen auf sensible Daten zugreifen können. Dies ist jedoch ein komplexes Thema, denn die Verwaltung von Zugriffsrechten und Zugängen („Identity and Access Management“ – IAM) betrifft alle Verantwortlichen in jeder Abteilung oder jedem Geschäftsbereich eines Unternehmens. Sie müssen in der Lage sein, zu bestimmen, wer im Team Zugriff auf was hat, und wer, was tun darf. An sich eine relativ einfache Aufgabe – doch angesichts der wachsenden Anzahl von Tools und der Fluktuation in Firmen kann die zeitgerechte Verwaltung von Zugriffsprivilegien schnell zu einer großen Herausforderung werden. Es ist allerdings ein notwendiges Projekt, das zur Sicherheit des Unternehmens beiträgt.
